経路上のルータを交換したらAFPサーバと接続できなくなった

こんにちは、初めて質問させていただきます。

先日、弊社で使用しているMac（90台程度）が存在するセグメントからファイル共有サーバ（AFP）への接続の経路上にあるルータを保守切れのためにリプレースしたところ、Macからファイル共有サーバにAFPで接続できないMacが8台ほど発生しました。（問題なく接続できるMacもあり）

ルータの設定自体は新旧で揃えており（機種差による非互換はあるかもしれません）Ping、Traceroute、Telnet（ポート指定548）などのネットワーク周りの接続は問題なく可能だったのですが、AFP接続だけできない端末が複数台発生してしまったため、旧ルータへの切戻しを行い、即時復旧しました。

ルータのベンダーにも問合せましたが原因がわからず、AFP接続の仕様や端末のOSのバージョン差による可否があるのではないかと回答があり、こちらにも問合せさせていただく次第です。原因についてお分かりになる方がいらっしゃいましたらご教示いただけると幸いです。

［環境］

・OSX 10.6～10.11.4　のMac8台（機種はiMac、Mac Pro混在）

・MAC端末のDefaultGatewayとなっている新ルータ（センチュリー・システムズNXR-G100）

・交換した旧ルータ（センチュリー・システムズ XR-410）

・Macと同一セグメント内に存在する、ファイル共有サーバへのGatewayとなっている

　FW(Juniper SSG-140）

・FWから専用線を経て外部データセンター内に存在するファイル共有サーバ（OSX 10.9）

［経路］

①ファイル共有サーバはセグメントが異なるためMacからDefaultGatewayのルータへ

②ルータはICMPリダイレクトで経路情報を展開（スタティックルートにも経路を切ってある状態）

③MacはFWを経由し、データセンター内のファイル共有サーバへ

④折り返しはファイル共有サーバ→FW→Mac

※接続は全てIPアドレス直打ちでDNSは使用せず

［調査及び切り分け］

・Macからファイル共有サーバへのPing、Traceroute　…OK

・Macからファイル共有サーバへのTelnet（ポート指定548）　…OK

・新ルータのICMPリダイレクト有効/無効（スタティックルートのみ）　…NG

・Macのログインユーザを変更　…NG

・Macの再起動　…NG

［検証環境での結果］

・OSX10.9までのMacは新ルータでもICMPリダイレクトを有効にすればAFP接続可能

・OSX10.11のMacは新ルータではICMPリダイレクトを有効/無効にかからずAFP接続不可

・OSXのバージョン、新旧ルータに関わらずMacのルーティングテーブルにFWのIPを

　ファイル共有サーバのIP向けにGatewayとするスタティックルートを追加するとAFP通信可能

・ルータやFWで通信が落とされている形跡は無し

［検証からの推測］

・OSX10．9まではICMPリダイレクトによってルーティングテーブルの更新が可能

・OSX10．11はICMPリダイレクト及びスタティックルートによるルーティングテーブル更新無し

⇒OS X Yosemite v10.10.3 およびセキュリティアップデート 2015-004 のセキュリティコンテンツについて - Apple サポート　

10.10～10.10.2のアップデートによりICMPリダイレクトではテーブル更新しないようにOSの仕様変更あり？

・ルーティングテーブルにFWのIPアドレスが直書きだとAFP接続可能、ルータを経由すると不可

・ルータやFWのACL、パケットフィルタタリングで拒否されている様子は無し

⇒AFP接続はMacのルーティングテーブルに直接ファイル共有サーバへのGatewayが記述されている

　 状態（もしくは行き帰りの通信経路が同一）でないと通信が確立できない？

―上記のように原因を推測しましたが、同様の事象やAFPプロトコルの詳細が見つけられず、原因が特定できておりません。また端末運用の都合上、実運用のMacにスタティックルートを追加することは難しく、ルータでのルーティングで対処したいと考えております。このため以下の問合せをさせてください。

［問合せしたい事項］

・上記のようにDefaultGatewayとは異なるGatewayを経路とするAFP接続の可否

・可能な場合、OSX10．10、10．11以降でMacにスタティックルートを追加せずにAFP接続する方法

以上、よろしくお願いいたします。